Multichain Whitehat Hacker חוזר 259 ETH: דיווח

המשתמשים בפרוטוקול צולב שרשרת התפרצו על פגיעות אבטחה לא פתורה שהופיעה בתחילת השבוע וכישלון הפלטפורמה לפעול. עם זאת, מאוחר יותר, Multichain חשף שהאקר Whitehat אחד החזיר 259 ETH, בשווי של כ-$813,000.

ניצול Multichain

הכל התחיל כאשר Multichain הודיע קיומו של פגם שהפך מספר חשבונות לפגיעים לגורמים זדוניים. הצוות מאחורי הפרוטוקול דחק במשתמשים שלו לבטל אישורים לשישה אסימונים - WETH, PERI, OMT, WBNB, MATIC ו-AVAX, על מנת להגן על הנכסים שלהם, פעולה שגרמה בהכרח להאקרים להיכנס ולנצל את הפגיעות.

?עדכון
לפי נתוני המעקב, האקר Whitehat אחד החזיר 259 ETH (https://t.co/BvTwOQTsE1). ברגע זה, מנוצל סך של 602.693538 ETH. אנחנו מנסים להחזיר עוד כספים.

- Multichain (לשעבר Anyswap) (@MultichainOrg) ינואר 20, 2022

לפי Multichain, שלושה האקרים זכו ל-Ether בשווי של כ-1.9 מיליון דולר. עם זאת, המייסד השותף של ZenGo Tal Beery העריך כי הסכום הכולל שנגנב ככל הנראה חצה 3 מיליון דולר.

אחד ההאקרים גרף 1.43 מיליון דולר ממשתמשים שלא הצליחו לעדכן את האישורים שלהם. האקר אחר הציע להחזיר 80% ושמר את השאר 150,000 דולר כטיפ. כשראה זאת, אחד הקורבנות, שלפי הדיווחים הפסיד 960,000 דולר בניצול, ניהל משא ומתן עם ההאקר בכך שהציע פרס של 50 ETH לכתובת בתמורה לכספים.

התוהו ובוהו

המשתמשים נותרו מבולבלים לאחר Multichain, ב-Sin-מחק ציוץ, אמר כי "הכספים בטוחים" גם כאשר הניצול היה בעיצומו. מספר קורבנות דחקו ב-Multichain לפצות ואף האשימו את הרמאים בניסיון להתחזות לחברה כדי לגנוב עוד כספי משתמשים.

הבאג דווח לראשונה על ידי חברת האבטחה DeFi Dedaub, אך Multichain דיווחה נתבע לתקן את זה.

ידוע בעבר בשם Anyswap, Multichain הוא בעצם פרוטוקול נתב חוצה בלוקצ'יין המאפשר למשתמשים להחליף ולהחליף אסימונים דיגיטליים בין רשתות. בכך הוא מקצץ משמעותית בעמלות ומייעל את התהליך כולו. החברה השיגה 60 מיליון דולר בסבב גיוס ראשוני בראשות Binance Labs בדצמבר.

ההפרה האחרונה באה בעקבות הודאה של CryptoCom בניצול שבו האקרים גנבו יותר מ-30 מיליון דולר ב-17 בינואר. מוקדם יותר הודיעה CryptoCom על השעיית משיכות לאחר שלל תלונות של משתמשים שטענו שהכספים שלהם נעלמו. אבל רק ביום חמישי הכירה החברה רשמית בהפרה לאחר שהואשמה שוב ושוב בתקשורת מעורפלת.